Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353) 一、漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 二、漏洞影响版本 ...

一、漏洞原理： 本地没有环境：参考：https://blogs.securiteam.com/index.php/archives/3171 进行学习理解记录。 首先这是一个java反序列化漏洞，一定是command在序列化信息中，反序列化时候直接执行了该命令。 攻击过程学习： 下文 ...

一、漏洞介绍 2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，其中就有Tomcat远程代码执行漏洞，当存在漏洞的Tomcat运行在Windwos主机上，且启用了HTTP PUT请求方法，攻击者就可以通过构造的攻击请求向服务器上传包含任意代码的JSP文件，造成任意代码 ...

一、Tomcat远程代码执行漏洞(CVE-2017-12615) 1.1 实验环境 操作机：windows 10 IP：192.168.1.119 目标机：windows 7 IP ...

0x00 环境搭建 使用docker+vulhub搭建 vulhub-master/samba/CVE-2017-7494 0x01 漏洞利用 使用msf进行漏洞利用 利用成功 参考：https://www.cnblogs.com ...

0x00 实验环境 攻击机：Win 10 靶场：docker拉的vulhub靶场 0x01 影响版本 Faster ...

一、背景 2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，其中就有远程代码执行漏洞（CVE-2017-12615），当存在漏洞的Tomcat运行在Windows主机上，且启用了HTTP PUT请求方法，恶意访问者通过构造的请求向服务器上传包含任意diam的JSP文件 ...

在刚刚结束的BlackHat2017黑帽大会上，最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞，这个漏洞是Office系列办公软件中的一个逻辑漏洞，和常规的内存破坏型漏洞不同，这类漏洞无需复杂的利用手法，直接就可以在office文档中运行任意的恶意脚本，使用起来稳定可靠 ...